Embed Size (px)
Citation preview
42 energiespektrum 06.2017
»Strikte Trennung«
IT-Sicherheit besteht aus mehr als einem ISMS, es ist nicht nur Technik. Was sollte man zusätzlich noch beachten?Das ISMS ist ein Management-Rahmen. Dort liegt der Fokus nicht nur auf technischen Maßnahmen, sondern es hat auch mit Organisation zu tun. Nehmen Sie zum Beispiel das Thema Protokollie-rung: Alle IT-Systeme stellen heutzutage Mög-lichkeiten dazu bereit. Es lässt sich im Nachhinein feststellen, wer auf das System zugegriffen hat und ob etwas Kritisches verändert wurde. Oft liegen diese Informationen allerdings brach und erst, wenn etwas passiert, überprüft man diese. Aber ein Hacker geht in der Regel so vor, dass er nicht sofort auffällt, er agiert im Hintergrund und verwischt seine Spuren. Also ist es sinnvoll, orga-nisatorisch festzulegen: Einmal in der Woche kontrolliert jemand die Protokollinformationen. Je nachdem, wie aufwendig dies wird, kann es sinn-voll sein, das automatisiert zu analysieren.
Das geht dann Richtung SIEM, Security and Incident Event Management?Genau, das wäre die gehobene Ausprägung. Ins-besondere wenn automatisierte Alarmierung und automatisierte Aussperrung von Nutzern in ein Quarantäne-Netzwerk hinzukommen.
Ein Hacker kann sich länger im System auf-halten, bevor er angreift. Hinweis auf ein Eindringen kann ungewöhnliche Kommuni-kation zwischen Geräten sein, etwa der Drucker tauscht Daten mit der Produktions-maschine aus. Fällt das auch unter SIEM?Ja, das würde auch in diese Kategorie gehören, bei der Systeme automatisiert den Datenverkehr analysieren und Anomalien erkennen. Die fort-geschrittenen Systeme arbeiten auf Basis selbst erlernter Muster. Das heißt: sie lernen, wer kom-muniziert mit wem im Netzwerk, was ist normal und was nicht.
Wie lässt sich denn grundsätzlich schnell erkennen und gegensteuern?
Basis ist eine restriktive Infrastruktur, also es ist definiert, was erlaubt ist. Wir müssen zum Bei-spiel mit einer Anlage im Feld kommunizieren, mit ihr über eine Schnittstelle genau definierte Da-ten austauschen. Alles andere verbieten wir erst einmal. Über automatisierte Erkennungsmecha-nismen lässt sich dann feststellen: Da ist trotz-dem eine Kommunikationsbeziehung, die hatten wir so vorher nie. Ein weiterer Punkt ist das Sich-ten der Protokollinformationen. Was außerdem dazugehört: Es dem Hacker möglichst schwer zu machen. Ihn aussperren aus dem System, indem man etwa eine Mehrfaktor-Authentifizierung nutzt, nicht nur Benutzername und Passwort, sondern zum Beispiel noch eine Smart Card. Phy-sik ist für den Hacker schwierig zu überbrücken.
Aber es gibt ja auch die Möglichkeit, dass er direkt an den Mitarbeiter herantritt …Ja, Awareness ist ein wichtiges Thema im ISMS und wird dort ganz stark betont. Zum Beispiel muss sich der Mitarbeiter bewusst sein, dass die IT-Abteilung niemals anruft und nach dem Pass-wort fragt. Oder das Thema Social Engineering: Es ist wichtig, dass man am Telefon keine kriti-schen Informationen herausgibt, wie etwa wei-tere Ansprechpartner. Auch im privaten Umfeld kommt es mittlerweile häufiger vor, dass jemand anruft und sich etwa als Microsoft-Support aus-gibt. Er versucht, durch technische Aussagen Vertrauen aufzubauen – weil das System so ist, wie er es gerade beschrieben hat – und dann tut man das, was der andere gerade sagt. Solch ein Angriffsszenario kann einen im privaten aber auch im beruflichen Umfeld treffen.
Wo stellen Sie bei ihrer Beratungstätigkeit denn noch die größten Lücken im Bereich Sicherheit fest?Pauschal ist das schwierig zu beantworten. Je-des Unternehmen unterscheidet sich vom ande-ren. Ein grundsätzliches Thema ist schon die Awareness: Dass die Kollegen und Kolleginnen vor Ort nicht unbedingt immer wissen, wie sind
denn gerade aktuelle Angriffsmechanismen. Und sie können oft die mittlerweile automatisierten Werkzeuge der Angreifer nur schwer einschät-zen. Die Zeiträume, um zu reagieren, sind heute ex trem eng. Das betrifft nicht nur Passwörter, sondern auch Sicherheitspatches, die Schwach-stellen schließen. Früher waren es teils Tage, bis man in den gängigen Bereichen des Internets Werkzeuge angeboten bekommen hat, um diese Schwachstelle auszunutzen. Aus den Tagen sind zum Teil nur noch Stunden geworden. Hier braucht es daher neben Technik sicherheitsbe-wusste Mitarbeiter, um kurzfristig handlungsfä-hig zu bleiben.
Welche Möglichkeiten gibt es, damit sich ein Angriff nicht über das ganze Verteil-netz ausbreitet, zum Beispiel von den Haushalten aufs Netz zugreift?Strikte Trennung. Man spricht gerne, insbeson-dere bei Feldgeräten, von Medienbruch. Es gilt also, eine weitere Komponente dazwischenzu-schalten, die die Signale noch mal annimmt, wei-tergibt und überprüft, ob etwas enthalten ist, das nicht reingehört. Zudem muss man sich bewusst machen, wo sind meine Risikoschwerpunkte, was muss ich denn schützen? Ist es wirklich nur das Leitsystem? Hat man so etwas wie ein Verzeichnisdienst, ist das gegebenenfalls ein Angriffspunkt? Wenn jemand hier angreift, ist es dann noch möglich, mich am System anzumelden? Nein, ist es nicht. Grund-sätzlich ist in Deutschland aber das Thema Smart Meter durch die technische Richtlinie des BSI noch einmal anders gelagert. Außerdem muss man sich die Frage stellen, wenn ich das Strom-netz an sich angreifen würde – würde ich wirklich den Weg über die einzelnen Smart Meter nehmen oder würde ich nicht versuchen direkt in die Leit-stellen über Social Engineering oder ähnliche An-griffsvektoren einzudringen. Trotzdem kann man das Schadensszenario nicht ganz ausschließen.
www.btc-ag.de V
»Awareness ist ein wichtiges Thema im ISMS und wird dort ganz stark betont.«
MENScHEN
INTERVIEW
Deutschland ist zum Glück nicht mehr geteilt. In der IT-Sicherheit spielen Zonen aber eine wichtige Rolle. Wir sprachen mit Christian Bruns von BTC über
Informationssicherheits-Managementsysteme, kurz ISMS.
christian Bruns
Er ist seit 2009 beim Oldenburger IT-
Beratungsunternehmen BTC Busi-
ness Technology Consulting im Be-
reich Informationssicherheit tätig
und dort aktuell Management Con-
sultant Information Security und
Themenmanager Cyber-Sicherheit.
Seit Beginn hat Christian Bruns die
Leitung und Begleitung von Projek-
ten im Bereich der Informationssi-
cherheit mit den Schwerpunkten
ISMS, Datenschutz, Schutz kritischer
Infrastrukturen, mobile Sicherheit
und Awareness inne.
VITA
